Phenquestions
Инсталирање ВСФТПД
ВСФТПД (Вери Сецуре ФТП Даемон) је софтверски програм који се користи за конфигурисање ФТП-а на серверу. У овом упутству, ВСФТПД ће се користити за конфигурисање ФТП сервера на машини. Пре инсталирања ВСФТПД, ажурирајте спремишта на серверу издавањем следеће наредбе.
[заштићен е-поштом]: ~ $ судо апт-гет упдате -иЗатим инсталирајте ВСФТПД помоћу следеће наредбе.
[заштићен е-поштом]: ~ $ судо апт-гет инсталл всфтпд -иНа крају, проверите инсталацију провером верзије всфтпд следећом наредбом.
[заштићена е-поштом]: ~ $ всфтпд -в
Горња команда ће издати верзију всфтпд ако је инсталација успешна.
ФТП у активном режиму
У активном режиму, ФТП клијент започиње сесију успостављањем ТЦП контролне везе са било ког случајног порта на клијентској машини на порт 21 сервера. Затим, клијент започиње преслушавање случајног порта Кс ради преноса података и обавештава сервер преко ТЦП Цонтрол везе да клијент чека податковну везу на порту Кс. Након тога, сервер успоставља везу података са свог порта 20 на порт Кс на клијентској машини.
Проблем може настати тамо где је клијент иза заштитног зида, а порт Кс је блокиран. У овом случају, сервер није у могућности да успостави везу за пренос података са клијентом. Да би се избегао овај проблем, ФТП сервер се углавном користи у пасивном режиму, о чему ћемо разговарати касније у овом чланку. Подразумевано, ВСФТПД користи пасивни режим, па ћемо га морати променити у активни режим.
Прво отворите ВСФТПД датотеку за конфигурацију.
[заштићена е-поштом]: ~ $ судо нано / етц / всфтпд.цонфДодајте следећи ред на крај датотеке.
пасв_енабле = НЕ
Такође, уверите се да је опција „цоннецт_фром_порт_20“ постављена на „ИЕС“.'Ова опција осигурава да се дата веза успостави на порту 20 сервера.
Даље, креирајте директоријум који ће ФТП сервер користити за складиштење датотека. За ово упутство, конфигурисаћемо „/ хоме / убунту / фтп /“ као основну путању за ФТП сервер.
[заштићена е-поштом]: ~ $ судо мкдир / хоме / убунту / фтпСада наведите овај директоријум у конфигурационој датотеци променом опције 'лоцал_роот'. Следећи параметар ће конфигурисати основну путању сервера.
лоцал_роот = / хоме / убунту / фтп
Мора бити омогућена опција 'врите_енабле' да би корисници могли да пишу на ФТП сервер.
Сваки пут када промените конфигурациону датотеку, увек поново покрените сервер.
[заштићена е-поштом]: ~ $ судо системцтл рестарт всфтпдПостављање лозинке за корисника
ФТП клијент се повезује са сервером помоћу корисничког имена и лозинке. Поставите лозинку за свог корисника на машини помоћу следеће наредбе.
[заштићен е-поштом]: ~ $ судо пассвд убунтуГорња команда ће тражити лозинку за 'убунту' корисника.
Конфигурисање заштитног зида за активни режим
Ако се ФТП користи у активном режиму, ФТП сервер ће користити два порта за комуникацију са клијентом, портови 21 и 22. Порт 21 користи се за прослеђивање наредби клијенту, а порт 20 служи за пренос података на било који случајни порт клијента. Уфв ћемо користити за конфигурисање заштитног зида на серверу. Инсталирајте уфв помоћу следеће наредбе.
[заштићена е-поштом]: ~ $ судо апт-гет инсталл уфвСада ћемо на страни сервера отворити портове 20, 21 и 22 (за ССХ везу).
[заштићен е-поштом]: ~ $ судо уфв дозвољава са било ког на било који порт прото тцп
Омогућите и проверите статус уфв користећи следеће наредбе.
[заштићен е-поштом]: ~ $ судо уфв енабле[емаил заштићен]: ~ $ судо уфв статус
БЕЛЕШКА: ако конфигуришете ФТП сервер у облаку, мораћете да дозволите и портове 20, 21 и 22 у безбедносној групи.
УПОЗОРЕЊЕ: Увек омогућите порт 22, заједно са потребним портовима, пре него што омогућите уфв на удаљеном систему. Подразумевано, УФВ блокира саобраћај са порта 22, тако да нећете моћи приступити удаљеном серверу помоћу ССХ-а ако омогућите уфв без дозволе промета са порта 22.
Инсталирање ФТП клијента
Сада је наш сервер конфигурисан у активном режиму и можемо му приступити са клијентске стране. За клијентску апликацију користићемо ФилеЗилла, фтп клијентску апликацију. Инсталирајте ФилеЗилла помоћу следеће наредбе.
[заштићен е-поштом]: ~ $ судо апт-гет инсталл филезилла -иОтворите апликацију ФТП клијента и унесите јавну ИП адресу и друге акредитиве ФТП сервера.
Када кликнете на „Куицкцоннецт“, повезаћете се на ФТП сервер и аутоматски ћете бити пребачени у директоријум наведен у опцији „лоцал_роот“ у конфигурационој датотеци „/ хоме / убунту / фтп“.
Проблеми у активном режиму
Коришћење ФТП-а у активном режиму ствара проблеме када је клијент иза заштитног зида. Након уноса почетних командних наредби, када сервер креира податковну везу са клијентом на случајном порту, заштитни зид на клијенту може блокирати порт, што доводи до неуспеха преноса података. ФТП се може користити у пасивном режиму за решавање ових проблема са заштитним зидом.
ФТП у пасивном режиму
У пасивном режиму, клијент креира контролну везу са сервером на порту 21 сервера. Клијент затим шаље посебну наредбу 'ПАСВ' да обавести сервер да ће клијент успоставити везу за пренос података уместо сервера. Као одговор, клијент прима ИП сервера и случајни број порта (овај број порта биће конфигурисан на серверу). Клијент користи овај ИП и број порта за стварање везе за пренос података са сервером. У пасивном режиму клијент успоставља и податке и контролне везе, тако да заштитни зид не ремети комуникацију између клијента и сервера.
Отворите ФТП датотеку за конфигурацију у вашем омиљеном уређивачу.
[заштићена е-поштом]: ~ $ судо нано / етц / всфтпд.цонфПодесите опцију 'пасв_енабле' на 'ДА' у датотеци како би сервер могао да комуницира са клијентом у пасивном режиму. Такође, подесите опцију 'лоцал_роот' да бисте одредили основни директоријум сервера и поставите опцију 'врите_енабле' на 'ИЕС' да бисте омогућили корисницима да уплоад-ују датотеке на сервер.
Као што је претходно речено, везу за податке успоставља клијент, а сервер клијенту шаље своју јавну ИП адресу и насумични порт за стварање везе за пренос података. Овај случајни порт на серверу може се одредити из низа портова у конфигурационој датотеци.
Веза података између сервера и клијента биће успостављена на порту између 1024 и 1048. Поново покрените ФТП сервер након промене конфигурационе датотеке.
[заштићена е-поштом]: ~ $ судо системцтл рестарт всфтпдКонфигурисање заштитног зида у пасивном режиму
Ако користимо ФТП у пасивном режиму, дата веза ће се успоставити преко било ког порта од 1024 до 1048, па је неопходно омогућити све ове портове на ФТП серверу.
[заштићен е-поштом]: ~ $ судо уфв дозвољава са било ког на било који порт прото тцп
Након што сте дозволили све портове на заштитном зиду, активирајте уфв покретањем следеће наредбе.
[заштићен е-поштом]: ~ $ судо уфв енаблеУвек дозволите портове на серверу пре него што омогућите заштитни зид; у супротном нећете моћи да приступите серверу преко ССХ-а као уфв, који подразумевано блокира порт 22.
Тестирање везе
Сада смо поставили ФТП сервер у пасивном режиму и можемо да проверимо фтп везу са клијентском апликацијом. Отворите ФилеЗилла у свом систему да бисте то урадили.
Након уноса хоста, корисничког имена, лозинке и порта, сада се можете повезати са сервером. Сада када сте повезани са ФТП сервером који ради у пасивном режиму, можете да отпремате датотеке на сервер.
Конфигурисање ССЛ сертификата са ФТП сервером
Подразумевано, ФТП сервер успоставља везу између клијента и сервера преко незаштићеног канала. Ову врсту комуникације не би требало користити ако желите да делите осетљиве податке између клијента и сервера. Да бисте комуницирали преко сигурног канала, неопходно је користити ССЛ сертификате.
Генерисање ССЛ сертификата
Користићемо ССЛ сертификате за постављање сигурне комуникације између клијента и сервера. Ове сертификате ћемо генерисати помоћу опенссл. Следећа команда ће генерисати ССЛ сертификате за ваш сервер.
[заштићена е-поштом]: ~ $ судо опенссл рек -к509 -нодес -даи 365 -невкеи рса: 2048 -кеиоут / етц / ссл / привате / всфтпд.пем -оут / етц / ссл / привате / всфтпд.пемКада покренете горњу команду, поставиће вам се нека питања. Након што одговорите на ова питања, генерисаће се сертификати. Сертификате можете потражити у терминалу.
[заштићен е-поштом]: ~ $ судо лс / етц / ссл / привате /
Коришћење сертификата у датотеци за конфигурацију
Сада су наши сертификати спремни за употребу. Конфигурисаћемо 'всфтпд.цонф 'за коришћење ССЛ сертификата за комуникацију. Отворите конфигурациону датотеку следећом командом.
[заштићена е-поштом]: ~ $ судо нано / етц / всфтпд.цонфДодајте следеће редове на крај датотека. Ове промене ће осигурати да ФТП сервер користи ново генерисане ССЛ сертификате за сигурну комуникацију са клијентом.
ссл_енабле = ДАфорце_лоцал_дата_ссл = НЕ
форце_лоцал_логинс_ссл = НЕ
ссл_тлсв1 = ДА
ссл_сслв2 = НЕ
ссл_сслв3 = НЕ
рса_церт_филе = / етц / ссл / привате / всфтпд.пем
рса_привате_кеи_филе = / етц / ссл / привате / всфтпд.пем
Поново покрените ФТП сервер да бисте применили ове промене.
[заштићена е-поштом]: ~ $ судо системцтл рестарт всфтпдНакон поновног покретања сервера, покушајте да се повежете са сервером помоћу клијентске апликације ФилеЗилла. Овог пута, клијентска апликација ће вас питати да ли треба веровати овим сертификатима.
Ако имате сертификате од поузданог издавача сертификата, ово упозорење не би требало да се појави. Наше сертификате смо генерисали користећи опенссл, који није поуздано тело за издавање сертификата, због чега је у нашем случају тражио потврду идентитета сертификата. Сада можемо да комуницирамо између клијента и сервера преко сигурног канала.
Анонимна конфигурација
Такође можете да омогућите анонимну пријаву на ФТП сервер. Ако је ова конфигурација омогућена, сваки корисник може да се пријави на ФТП сервер са било којим корисничким именом и лозинком. Следећи параметри у конфигурационој датотеци учиниће ФТП сервер анонимно доступним.
Горња конфигурација поставља основну путању анонимних корисника на '/ хоме / убунту / фтп / анон' и неће тражити лозинку када се анонимни корисник пријави.
БЕЛЕШКА: Уверите се да путања '/ хоме / убунту / фтп / анон' постоји на ФТП серверу.
Сада поново покрените ФТП сервер.
[заштићена е-поштом]: ~ $ судо системцтл рестарт всфтпдНакон поновног покретања сервера, покушаћемо да се повежемо са сервером путем прегледача Гоогле Цхроме. Идите на следећу УРЛ адресу.
фтп: // 3.8.12.52Горња УРЛ адреса водиће вас до основног директоријума ФТП сервера, као што је наведено у конфигурационој датотеци. Када је анонимна пријава онемогућена, када покушате да се повежете са ФТП сервером помоћу прегледача, прво ћете затражити потврду идентитета, а затим ћете бити преусмерени у основни директоријум сервера.
Конфигуришите локални приступ
Такође можемо да дозволимо или блокирамо локални приступ ФТП серверу променом конфигурационе датотеке. Тренутно нашем локалном ФТП серверу можемо приступити локално без употребе ФТП клијентске апликације, али можемо блокирати овај приступ. Да бисмо то урадили, морамо изменити параметар 'лоцал_енабле'.
Прво, поново покрените ФТП сервер.
[заштићена е-поштом]: ~ $ судо системцтл рестарт всфтпдНакон поновног покретања сервера, покушајте да локално приступите ФТП серверу помоћу интерфејса командне линије. Пријавите се на удаљени сервер користећи ССХ.
[заштићена е-поштом]: ~ $ ссх убунту @ 3.8.12.52 -иСада издајте следећу команду да бисте се локално пријавили на ФТП сервер помоћу интерфејса командне линије.
[заштићен е-поштом]: ~ $ фтп лоцалхостКада покренете горњу наредбу, она ће избацити 500 грешака.
Закључак
Протокол за пренос датотека се већ дуги низ година користи за пренос датотека и докумената преко Интернета. ВСФТПД је један од пакета који се користи као ФТП сервер на вашем рачунару. ВСФТПД садржи разне конфигурације које можете користити за прилагођавање ФТП сервера. Ово упутство вам је показало како да конфигуришете ФТП сервер са ТЛС-ом за побољшану сигурност. Да бисте сазнали више о ФТП конфигурацијама, посетите следећу везу.
хттп: // всфтпд.звери.орг / всфтпд_цонф.хтмл
